카테고리 보관물: AI-Driven 보안운영

AI-Driven 보안운영

생성형 AI 기반 보안 대응 업무 활용

인공지능(AI)을 활용하면 보안 경보 분석 업무를 더 효율적이고 쉽게 만들 수 있습니다. 보안 경보 분석에서는 방대한 양의 데이터가 실시간으로 생성되며, 이를 일일이 사람이 분석하기에는 한계가 있습니다. AI 기술을 적용하면 경보 분석에서 발생하는 주요 문제를 해결하고 자동화할 수 있습니다.

다음은 AI를 통해 보안 경보 분석 업무를 쉽게 하는 몇 가지 방법입니다:

1. 이상 탐지(Anomaly Detection)

AI 기반 이상 탐지 알고리즘은 정상적인 활동 패턴을 학습하고 비정상적인 활동을 실시간으로 탐지할 수 있습니다. 머신러닝 모델을 사용하여 평소의 네트워크 트래픽과 행동을 학습한 후, 이와 다른 활동이 나타날 경우 자동으로 경보를 생성하거나 분석 팀에 알림을 보냅니다.

활용 기술:

  • 머신러닝 (예: SVM, 랜덤 포레스트)
  • 딥러닝 (예: RNN, LSTM)

2. 경보 우선순위 지정

보안 시스템에서는 수많은 경보가 발생하므로 모든 경보를 동일하게 처리하는 것은 비효율적입니다. AI를 통해 경보의 심각도와 우선순위를 자동으로 평가하여 중요한 경보를 먼저 처리할 수 있게 합니다. 이는 경보의 과거 기록, 발생 시간대, 공격 패턴 등을 바탕으로 이루어집니다.

활용 기술:

  • 자연어 처리(NLP)를 통한 로그 분석
  • 기계 학습 기반의 경보 분류 시스템

3. 오탐지 감소

AI를 활용해 오탐(false positive) 경보를 줄일 수 있습니다. 기계 학습 모델은 반복적인 학습을 통해 오탐 경보의 패턴을 인식하고 이러한 경보가 다시 발생할 때 우선순위를 낮추거나 무시할 수 있게 됩니다. 이렇게 하면 보안팀이 중요한 경보에 더 집중할 수 있게 됩니다.

활용 기술:

  • 오탐과 실제 경고 데이터 학습
  • 딥러닝을 통한 패턴 인식

4. 자동화된 위협 인텔리전스 통합

AI는 다양한 보안 위협 정보(Threat Intelligence) 소스에서 자동으로 데이터를 수집하고 분석할 수 있습니다. 이를 통해 새로운 위협에 대한 정보를 경보 분석에 통합하여 보다 정확하고 최신의 경보 분석이 가능해집니다.

활용 기술:

  • 위협 인텔리전스 플랫폼과의 API 연동
  • 빅데이터 분석

5. 보안 이벤트 상관관계 분석

여러 개의 보안 이벤트가 동시에 발생할 때, AI는 이를 상관관계 분석하여 서로 관련 있는 이벤트를 그룹화하거나 특정 공격 시나리오를 식별할 수 있습니다. 이를 통해 개별적으로는 무해해 보이는 이벤트들이 합쳐져 큰 보안 위협을 의미할 수 있음을 탐지할 수 있습니다.

활용 기술:

  • 상관관계 분석 알고리즘
  • 그래프 분석 및 패턴 매칭

6. 자동 대응 시스템

AI가 경보를 분석하는 동시에 자동 대응을 수행하도록 설정할 수 있습니다. 예를 들어, 의심스러운 활동이 탐지되면 AI가 자동으로 방화벽 규칙을 수정하거나 특정 사용자의 접근 권한을 일시적으로 제한할 수 있습니다.

활용 기술:

  • SOAR(Security Orchestration, Automation, and Response) 플랫폼
  • 자동화된 정책 실행 엔진

AI 기반 보안 경보 분석 도입의 장점

  • 시간 절약: 반복적이고 수작업이 많은 분석 과정을 AI가 자동화하여 보안 팀의 시간을 절약.
  • 정확도 향상: AI는 더 많은 데이터를 빠르게 분석하여 사람보다 더 일관되게 정확한 분석을 수행.
  • 위협 대응 속도 향상: 실시간 분석 및 자동화된 대응을 통해 위협에 신속히 대처.

이와 같은 AI 활용을 통해 보안 경보 분석의 효율성을 크게 높일 수 있습니다

AI-Driven 보안 경보 분석 업무 쉽게 하기

보안팀 대응 업무의 가장 많은 리소스 사용은 탐지된 보안 경보를 분석해 보안 위협을 구분하는 과정 이다. 다양한 보안 장비의 상관분석을 통해 탐지된 보안 경보는 각각의 보안 로그를 재조합해 분석팀/관제팀에서 분석에 필요한 문맥 정보를 파악 한다. 이 과정에서 탐지된 보안 로그를 확인하는 과정에 시간이 많이 소요 된다. 각각의 필드 정보와 IOC 연관 정보를 식별하는 과정은 단순 업무의 반복이다.

RAG 기술을 활용해 인공지능 엔진을 보안 위협 대응 과정에 활용하면 보안 경보 분석 과정을 혁신적으로 빠르게 분석할 수 있다. 전통적으로 SIEM 솔루션에서 발생한 경보를 분석하는 과정과 인공지능 엔진을 활용해 경보를 분석하는 과정을 비교해 볼 수 있다.

다음 화면 캡처를 통해 전통적인 보안 경보 분석 하는 과정을 먼저 설명 드립니다. 탐지된 경보 중 인텔리전스 정보를 활용한 블랙 리스트 IP에 접속한 경보를 살펴 본다.

그림. 보안 경보 상세 로그 분석 1단계. 이벤트 설명

탐지 위협을 이해하기 위해 탐지된 경보에 대해 설명을 확인하고, 경보가 의미하는 내용과 조사 방법에 대한 설명을 확인 한다. 참조 내용을 기반으로 탐지된 상세 로그를 분석 한다. 탐지 시간, 탐지된 IP 정보를 확인 하고, IP 정보에 대한 평판을 확인하기 위해 평판 조회 사이트를 참고 한다. 의심 IP에 접속한 호스트에 대해 상세 정보를 확인 한다.

그림. 보안 경보 상세 로그 분석 2단계. 외부 IP 평판 정보 분석

운영 체제 정보와 연결에 사용한 프로그램을 확인 한다. 연결에 사용된 프로그램 정보는 악성코드나 백도어에 의한 원격 연결을 확인하는데 중요한 정보이다. 개별 분석 정보를 취합해 분석가는 해킹에 의한 이벤트 발생 여부를 판단 한다.

그림. 보안 경보 상세 로그 분석 3단계. 보안 장비 로그 확인

추가로 시각화 정보를 이용하게 되면 좀더 직관적으로 탐지 이벤트에 대해 이해할 수 있다. 최초 실행된 프로세스와 해당 실행 파일 정보를 통해 인터넷 연결을 통한 네트워크 연결 과정을 확인할 수 있다.

그림. 보안 경보 상세 로그 분석 4단계. 시각화 정보 분석

이러한 과정은 실시간으로 보안팀 분석가가 반복적으로 수행하는 작업이며, 분석에 대부분의 업무 리소스를 사용 한다.

생성형 AI 역량을 활용하면 앞서 분석가가 직접 확인해야 하는 정보를 자동으로 분석하고 빠르게 대응할 수 있도록 경보와 연관된 모든 정보를 확인 수 있다. 프롬프트 엔지니어링을 통해 간단하게 관련 정보를 확인할 수 있다. 엘라스틱에 수집된 로그를 이용해 분석 보고서 정보를 생성 할 수 있다. 다음 화면은 앞서 설명한 분석 과정을 Elastic AI-Driven 엔진을 통해 자동으로 모든 과정의 정보를 취합하는 화면 캡처다.

그림. 인공지능 엔진을 이용한 보안 경보 분석 정보 자동 생성

Elastic AI Assistant가 탐지된 경보에 대한 상세 로그를 분석해 중요한 위협 식별 정보를 정리 한다. 탐지된 보안 이벤트 종류와 형식을 요약하고, 연관된 호스트 정보를 상세하게 분석해 제공 한다. 호스트 또는 사용자에 대한 위험 리스크 스코어도 함께 제공해 분석가가 판단에 필요한 도움을 제공 한다.

외부로 통신을 시도한 설치 프로그램 정보를 분석에 제공하면 분석가는 시간을 들여 분석하지 않아도 핵심적인 이벤트 대응 정보를 참고 할 수 있다. 여기에 추가로 필요한 대응 조치에 대해 확인해 대응 과정에서 활용 할 수 있다. 앞서 메뉴얼하게 분석하는 과정과 비교해 보면 대응 시간을 드라마틱하게 줄여 대응 역량을 높일 수 있다. 분석 보고서는 케이스 생성을 통해 시스템에 대응 근거로 저장해 침해사고 대응 과정에 대한 기록으로 활용할 수 있다. 이처럼 인공지능 역량을 활용한 보안 위협 대응은 다양한 보안 위협을 대응하는 기업의 역량을 높이는데 매우 중요한 요소다.

자세한 데모를 통해서 생성형 AI를 활용해 실제 위협 분석을 진행하는 과정은 유튜브 링크를 참조 한다.